Abo
  • Services:
Anzeige
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben.
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben. (Bild: isightspartners.com)

Windows-Exploit: Russische Hacker greifen angeblich Nato und Regierungen an

Russische Hacker sollen in den vergangenen Jahren zahlreiche Ziele im Westen und in der Ukraine angegriffen haben. Sie nutzten dabei offenbar eine Sicherheitslücke aus, die in allen aktuellen Windows-Versionen bestehen und am Dienstag gepatcht werden soll.

Anzeige

Nach Informationen der US-amerikanischen Sicherheitsfirma Isight Partners hat ein russisches Hackerteam in den vergangenen Jahren gezielt westliche Institutionen angegriffen. Betroffen von den Attacken seien die Nato, ukrainische und westeuropäische Regierungen, Energiefirmen, europäische Telekommunikationsfirmen und US-amerikanische Universitätseinrichtungen gewesen, berichtete das Unternehmen am Dienstag. In Zusammenarbeit mit Microsoft habe sich herausgestellt, dass die Hacker einen Zero-Day-Exploit (CVE-2014-4114) in allen unterstützten Windows-Versionen von Vista SP2 bis Windows 8.1 ausgenutzt hätten. Auch die Windows Server-Versionen 2008 and 2012 seien betroffen. Beim Vista-Vorgänger XP finde sich die Lücke noch nicht, sagte Isight-Direktor Stephen Ward der Washington Post.

Die Isight-Experten nannten das neu entdeckte Hackerteam Sandworm, nach den riesigen Sandwürmern aus dem Science-Fiction-Roman Dune (Düne) von Frank Herbert. Der fiktive Wüstenplanet Arrakis sei in Code oder URLs von Command-and-Control-Servern entdeckt worden. Die Server hätten dabei in Deutschland gestanden und seien schlecht gesichert gewesen, so dass Dateien in russischer Sprache gefunden worden seien. Das Team existiere vermutlich seit 2009. Seit Ende 2013 habe die Sicherheitsfirma die Angriffe beobachtet und im September 2014 die Windows-Lücke entdeckt.

Fehler in DLL-Bibliothek

Der Beschreibung der Lücke zufolge steckt der Fehler in der Bibliothek "packager.dll". Sie ist für die Behandlung von OLE-Objekten zuständig. Über diesen Windows-Mechanismus des "Object Linking and Embedding" können Dokumente in andere Dokumente eingebettet werden. So lässt sich beispielsweise ein Diagramm in ein Word-Dokument einsetzen. Die beiden Quellen sind dabei verbunden und Änderungen am Diagramm tauchen auch in Word auf.

Der Packager behandelt aber auch andere Dateitypen, im Falle der nun gefundenen Lücke .inf-Dateien, was fatal sein kann. Eine solche Datei enthält üblicherweise einen Text mit Installationsanweisungen. Dabei kann es sich um Programme oder Treiber handeln, deren Installation nun auch über ein OLE-Objekt gestartet werden kann. Das Öffnen eines entsprechend präparierten Dokuments kann also zur Installation von Code führen, der auch aus dem Internet heruntergeladen werden kann. Die standardmäßig ab Windows Vista aktivierte Benutzerkontensteuerung (UAC), die vor jeder Installation warnt, kann damit aber offenbar nicht umgangen werden. Ist diese jedoch ausgeschaltet, was gerade zu Zeiten von Vista wegen seiner sehr aufdringlichen Warnhinweise beliebt war, gibt es keine weitere Warnung mehr. Das setzt aber auch noch Administratorrechte voraus.

Angriffe über Spear-Phishing

Da die Packager.dll erst mit Vista eingeführt wurde - unter Windows XP war Packager.exe dafür zuständig - sind alle Versionen seit Vista davon betroffen, also auch Windows 7, Windows 8 und 8.1 sowie Windows Server 2008 und 2012. Die Lücke soll am Dienstag mit dem Sicherheitsbulletin MS14-060 gepatcht werden.

Dem Bericht zufolge entdeckte Isight im August 2014 eine sogenannte Spear-Phishing-Attacke auf die ukrainische Regierung und eine US-Organisation mit einem manipulierten Powerpoint-Dokument. Beim Spear-Phishing werden speziell auf das Opfer zugeschnittene E-Mails eingesetzt, die zum Öffnen des manipulierten Dokuments bewegen sollen. Die Attacken seien zeitlich mit dem Ukraine-Gipfel in Wales zusammengefallen. Neben der Windows-Lücke hätten die Hacker auch sogenannte Blackenergy-Programme eingesetzt, bei denen möglichst viele Lücken gleichzeitig ausgenutzt werden sollten. Eine polnische Energiefirma sei zudem mit der Tiff-Sicherheitslücke CVE-2013-3906 angegriffen worden, die im November 2013 bekanntgeworden war.

Nach Ansicht von Isight Partners stehen die Sandworm-Attacken im Zusammenhang mit einer ganzen Reihe von Angriffen aus dem russischen Raum. Mindestens fünf Teams würden derzeit beobachtet. Zuletzt wurde über ein "Zar-Team" berichtet, das mit Hilfe von Schadprogrammen für mobile Geräte die US-Regierung und Energiefirmen ausspionieren wolle. Für Isight-Direktor Ward lassen die Attacken eindeutig auf Spionageaktivitäten schließen. "Alle Hinweise, von der Auswahl der Ziele und der Köder, weisen auf eine Spionage im Interesse Russlands hin", sagte er der Washington Post. Die russische Regierung habe solche Vorwürfe in der Vergangenheit zurückgewiesen. Über den Erfolg der Sandworm-Angriffe konnte Isights keine genauen Angaben machen. Bestimmte Ziele, beispielsweise innerhalb der ukrainischen Regierung, seien jedoch kompromittiert gewesen.


eye home zur Startseite
flurreh 29. Okt 2014

Nö, wenn sie bekannt wurde ist sie das nicht mehr.

SelfEsteem 15. Okt 2014

Vergiss die Chinesen nicht! Hmm ... hab heute irgendwie einen politisch hochgradig...

SelfEsteem 15. Okt 2014

Och, man muss halt fuer sich entscheiden, wie man damit umgeht. Ich persoenlich wuerde...

plutoniumsulfat 14. Okt 2014

Artikel nicht gelesen? Edit: R

knete 14. Okt 2014

mich erinnert das an Dune



Anzeige

Stellenmarkt
  1. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  2. MSH Medien System Haus GmbH & Co. KG, Stuttgart
  3. über Ratbacher GmbH, Raum Frankfurt am Main
  4. beeline GmbH, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. Die Unfassbaren, Ghostbusters I & II, Jurassic World, Fast & Furious 7 Extended Version)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  2. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  3. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  4. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  5. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  6. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  7. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  8. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  9. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten

  10. Micro Machines Word Series

    Kleine Autos in Kampfarenen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Ping-Zeiten

    Lasse Bierstrom | 01:11

  2. Re: Impfgegner nutzen Logik und IQ die...

    frostbitten king | 00:58

  3. wo ist das Problem?

    Psy2063 | 00:49

  4. Re: Material

    Psy2063 | 00:47

  5. Re: Endlich dem Trend gefolgt...

    Psy2063 | 00:44


  1. 19:03

  2. 18:45

  3. 18:27

  4. 18:12

  5. 17:57

  6. 17:41

  7. 17:24

  8. 17:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel